DNSSEC
Digitale Signaturen als Schutzschild gegen DNS-Manipulation
DNSSEC: Digitale Signaturen als Schutzschild gegen DNS-Manipulation
Das Domain Name System (DNS) wird oft als das Telefonbuch des Internets bezeichnet. Doch das ursprüngliche Protokoll stammt aus einer Zeit, in der Sicherheit eine untergeordnete Rolle spielte. Ohne zusätzliche Absicherung vertraut ein Browser blind den Antworten, die er auf eine Namensabfrage erhält.
DNSSEC (Domain Name System Security Extensions) schließt diese Vertrauenslücke durch den Einsatz kryptografischer Signaturen.
Das Sicherheitsrisiko: DNS Cache Poisoning
Standard-DNS-Abfragen sind anfällig für Manipulationen. Bei einem sogenannten DNS Cache Poisoning (oder DNS Spoofing) schleust ein Angreifer gefälschte Daten in den Cache eines DNS-Resolvers ein.
Die Folge: Nutzer, die eine legitime URL (z. B. ihre-bank.de) eingeben, werden unbemerkt auf eine gefälschte IP-Adresse umgeleitet. Da die Adresszeile im Browser korrekt aussieht, bleibt der Angriff oft unentdeckt.
Die Lösung: Vertrauen durch Kryptografie
Wie DNSSEC funktioniert
Anstatt nur die IP-Adresse zu liefern, sendet ein DNSSEC-geschützter Server zusätzlich eine digitale Signatur (RRSIG). Der Empfänger (Resolver) kann diese Signatur mithilfe eines öffentlichen Schlüssels (DNSKEY) verifizieren.
Dieser Prozess baut eine Chain of Trust (Vertrauenskette) auf:
- Die Zone (z. B. beispiel.de) ist durch die übergeordnete Instanz (die TLD .de) signiert.
- Die TLD ist wiederum durch die Root-Zone signiert.
- Der öffentliche Schlüssel der Root-Zone dient als globaler Ankerpunkt des Vertrauens.
Strategische Vorteile für Unternehmen
- Integrität der Daten: Es wird sichergestellt, dass die DNS-Antwort auf dem Weg vom Server zum Client nicht verändert wurde.
- Authentizität der Quelle: Der Resolver kann zweifelsfrei feststellen, ob die Antwort tatsächlich vom autoritativen Nameserver der Domain stammt.
- Schutz vor Phishing: Durch die Verhinderung von Umleitungen auf gefälschte Server wird eine der effektivsten Phishing-Methoden unterbunden.
- Grundlage für DANE: DNSSEC ist die technische Voraussetzung für DANE, ein Protokoll, das TLS-Zertifikate direkt im DNS absichert und so die Abhängigkeit von externen Zertifizierungsstellen (CAs) verringert.
Herausforderungen bei der Implementierung
Trotz der klaren Vorteile erfordert DNSSEC eine sorgfältige Administration:
- Komplexität: Die Verwaltung der kryptografischen Schlüssel (Key Rollover) muss automatisiert oder strikt prozessual begleitet werden.
- Größere Antwortpakete: DNSSEC-Antworten sind deutlich größer als Standard-DNS-Antworten, was bei Fehlkonfigurationen zu Problemen mit UDP-Fragmentierung führen kann.
- Risiko der Nichterreichbarkeit: Ein Fehler in der Signaturkette führt dazu, dass die Domain für validierende Resolver nicht mehr auflösbar ist – die Seite ist dann „offline“.
Zusammenfassung
DNSSEC ist kein optionales „Feature“ mehr, sondern eine fundamentale Infrastruktur-Härtung. In einer Zeit, in der automatisierte Angriffe auf die Internet-Infrastruktur zunehmen, bietet nur die kryptografische Validierung die notwendige Sicherheit, dass Ihre Nutzer auch tatsächlich dort ankommen, wo sie hinwollen.
Allgemeine Hinweise zum IOK-Blog
Der IOK Blog stellt IT-Administratoren aktuelle und aus unserer Sicht relevante Informationen zur Verfügung. „Kurz und knackig“ wollen wir Sie so informiert halten. Für sämtliche Informationen gilt Folgendes:
- Die Informationen wurden sorgfältig recherchiert, gelten aus unserer Sicht aber nur zum Zeitpunkt der Veröffentlichung. Bitte eventuelle Updates ggf. bei den genannten Ansprechpartnern der IOK oder bei Herstellern erfragen.
- Irrtum und Änderungen sind vorbehalten.
- IOK übernimmt keine Gewährleistung und Haftung für Schäden, die sich direkt oder indirekt aus der Umsetzung der von uns publizierten Artikel und vorgeschlagenen Vorgehensweisen und Informationen ergeben.
- Technische Informationen und Lizenzbedingungen der Hersteller gelten in jedem Fall.
Wir wünschen Ihnen nun viel Erfolg mit den Infos aus dem IOK-Blog!